CHAPTER09局域网攻防局域网是指在某一区域内由多台计算机互联成的计算机组，它可以实现文件管理和共享等功能，一些攻击者常常会采用各种不同的手段来攻击局域网，可能是炫耀技术，也可能是盗取信息，无论什么目的，用户都要阻止她们的攻击，确保网络安全。本章知识点：R局域网攻击常见方式R攻击局域网R抵制局域网攻击1469.1局域网攻击常见方式局域网攻击是只攻击者采用各种不同的手段攻击局域网内的计算机或其他网络设备，常见的局域网攻击方式有ARP欺骗攻击、广播风暴、DNS欺骗攻击以及DdoS攻击，这些攻击都会造成局域网内的网络设备无法正常工作或上网，因此用户有必要了解这些常见的局域网方式。001Q什么是ARP欺骗？ARP欺骗是指在局域网中伪造不存在的MAC地址，达到截A获数据包的目的，它将导致局域网出现网络不通的现象。由于局域网的网络流通是按照MAC地址进行传输。所以，当局域网中有伪造的MAC地址时，则该MAC地址就变成一个不存在的MAC地址，这样就会造成网络不通，导致其他计算机不能与该MAC地址Ping通！这就是一个简单的ARP欺骗。ARP的工作原理为：当主机A向主机B发送报文时，主机A会查询本地的ARP缓存表，找到主机B的IP地址对应的MAC地址后进行数据传输；如果未找到，则广播A的一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb，网上所有主机(包主机B)都收到ARP请求，但只有主机B识别自己的IP地址，于是向主机A发回一个ARP响应报文。其中包含有主机B的MAC地址，主机A接收到主机B的应答后更新本地的ARP缓存表。然后使用这个MAC地址向主机B发送数据，其流程图如下。找到A在ARP缓存表中查向B询B的IP地址所对应发送的MAC地址数据A在ARP缓存表中查询B的IP地址所对应广播A的B收到请求报A收到ARP回应报的MAC地址一个ARP文后发送ARP文，更新ARP缓存未找到请求报文回应报文表后向B发送数据ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器C向A发送一个自己伪造的ARP应答，而如果这个应答是C冒充B伪造来的，即IP地址为B的IP，而MAC地址是伪造的，则当A接收到C伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来B的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而147是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通B！这就是一个简单的ARP欺骗,其流程图如下所示。A未找到BC冒充B向AA收到C的A无法ping的MAC地址，发送一个包ARP回应报通B，无法广播A的一含伪造的MAC文后更新本向B传输数个ARP请求地址的ARP回地的ARP缓据，造成网报文应报文存表络不通ARP欺骗是黑客常用的攻击手段之一，常见的ARP欺骗分为两种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常主机无法收到信息；第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的主机向假网关发送数据，而不是通过正常的路由器途径上网。在主机看来，就是上不了网。002Q广播风暴是怎么一回事？广播风暴是指在局域网中塞满了大量的广播帧或广播数据A包，从而导致局域网设备无法正常运行，甚至瘫痪。所谓广播风暴，就是指当广播数据塞满局域网且无法处理时，由于这些数据占用大量的网络带宽，导致局域网设备无法正常运行，甚至瘫痪。产生广播风暴最根本的原因就是局域网中存在了大量的广播数据。广播数据在网络中是必不可少的，如局域网中的计算机通过DHCP自动获得IP地址的过程就是通过广播帧来实现的。而且，由于各计算机之间也需要相互通信，因此在网络中即使没有用户人为地发送广播帧，网络上也会出现一定数量的广播帧，由于广播几乎占据了局域网内的所有带宽，因此当局域网中出现大量的广播帧时，就会产生“广播风暴”，产生广播风暴的原因主要有以下几种。网线短路引发广播风暴当连接局域网的网线表面有磨损时，很容易导致短路，从而会引起交换机